Forum

fortigate AD entegr...
 
Bildirimler
Hepsini Temizle

fortigate AD entegrasyonu NTLM problemi

tarkankurd
(@tarkankurd)
Üye

Merhaba

İki farklı lokasyon ve iki farklı domainimiz var. Aralarında trust var.

İki lokasyonda da Fortigate 100d var ve AD entegrasyonları var.

a lokasyonundaki domainde olan/olmayan bir cihazda kendi domain şifresi ile nete çıkış yapabiliyor.  ( a ve b lokasyonlarında)

b lokasyonundaki user sadece domaine dahil olan bir bilgisayardan kendi kullanıcısı ve şifresi ile çıkış yapabiliyor.

Domaine dâhil olmayan herhangi bir cihazdan kesinlikle çıkış yapamıyor.

Her iki lokasyondaki cihazların ve agentların configlerini ve policy leri karşılaştırdım. Herhangi bir faklılık bulamadım.

A lokasyonundaki cihazda Firewall User Monitor listesinde Method sütununda NTLM ve FSSO olmasına rağmen B lokasyonunda bu sütünda sadece FSSO gözükmekte

B lokasyonunda Domain User lar ile çalışan programlar var. Bunlarda herhangi bir sıkıntı olmuyor.

Nasıl bir kontrol yapabilirim.

 

Alıntı
Konu başlatıcı Gönderildi : 10/09/2016 16:53
Yilmaz BARCIN
(@yilmazbarcin)
Saygın Üye

Merhaba,

muhtemelen a lokasyonunda explict proxy kullanıyorsunuz ve onun içerisinde authentication 'ı NTLM ile yaptığınız için FSSO'da bunu görüyorsunuz.

ben burada sorunun ne olduğunu anlayamadım, b lokasyonunda da fsso ile çalışıyorsunuz ve sorun yok anlaladğım kadarı ile.

proxy tarafında ntlm kullanmak için http://kb.fortinet.com/kb/documentLink.do?externalID=FD36382 kullanabilirsiniz.

kolay gelsin,

yB

CevapAlıntı
Gönderildi : 13/09/2016 01:04
tarkankurd
(@tarkankurd)
Üye

Merhaba

 

Her iki tarafta da explicit proxy kullanmıyoruz.

a tarafındaki user hem b tarafındaki hemde a tarafındaki lokasyonda domaine dahil olan/olmayan (cep telefonları, tabletler dahil) herhangi bir bilgisayardan kendi user ve şifresi ile nete giriş yapabilmekte.

b tarafındaki user ise her iki tarafta da sadece domaine bağlı olan bilgisayardan nete çıkabilmekte.

aşağıda cli da aldığım debuglar var.

1- a taradındaki userin b lokasyonundaki çıktısı.

[1938] handle_req-Rcvd auth req 423639547 for A_USER in Active_Directory_AYERLERKESI opt=0000001b prot=0
[345] __compose_group_list_from_req-Group 'Active_Directory_AYERLERKESI'
[694] fnbamd_pop3_start-A_USER
[976] __fnbamd_cfg_get_ldap_list_by_server-Loading LDAP server 'Active_Directory_AYERLERKESI'
[1001] resolve_ldap_FQDN-Resolved address 10.205.40.182, result 10.205.40.182
[1369] fnbamd_ldap_init-search filter is: sAMAccountName=A_USER

[1372] fnbamd_ldap_init-search base is: DC=AYERLERKESI,DC=local

[464] create_auth_session-Total 1 server(s) to try
[433] start_search_dn-base:'DC=AYERLERKESI,DC=local' filter:sAMAccountName=A_USER

[1755] fnbamd_ldap_get_result-Going to SEARCH state
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[467] get_all_dn-Found DN 1:CN=A Yerleskesi USERI,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local

[481] get_all_dn-Found 1 DN's
[515] start_next_dn_bind-Trying DN 1:CN=A Yerleskei USERI,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[1803] fnbamd_ldap_get_result-Going to USERBIND state
[2548] auth_ldap_result-Continue pending for req 423639547
[738] start_user_attrs_lookup-Adding attr 'memberOf'
[759] start_user_attrs_lookup-base:'CN=A Yerleskesi USERI,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local' filter:cn=*

[1859] fnbamd_ldap_get_result-Entering CHKUSERATTRS state
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[927] get_member_of_groups-Get the memberOf groups.
[959] get_member_of_groups- attr='memberOf', found 9 values
[85] ldap_grp_list_add-added CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[0]='CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[1]='CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[2]='CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[3]='CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[4]='CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[5]='CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[6]='CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[7]='CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[8]='CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[806] start_primary_group_lookup-starting check...
[810] start_primary_group_lookup-number of sub auths 5
[828] start_primary_group_lookup-base:'DC=AYERLERKESI,DC=local' filter:(&(objectclass=group)(objectSid=\01\05\00\00\00\00\00\05\15\00\00\00\bd\1a\61\f8\be\a8\c3\b4\51\48\56\b0\01\02\00\00))

[1882] fnbamd_ldap_get_result-Entering CHKPRIMARYGRP state
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[85] ldap_grp_list_add-added CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local
[910] get_primary_groups-primary group: CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local
[1915] fnbamd_ldap_get_result-Auth accepted
[2031] fnbamd_ldap_get_result-Going to DONE state res=0
[150] __ldap_copy_grp_list-copied CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local
[2628] fnbamd_auth_poll_ldap-Result for ldap svr 10.205.40.182 is SUCCESS
[2648] fnbamd_auth_poll_ldap-Skipping group matching
[866] find_matched_usr_grps-Skipped group matching
[180] fnbamd_comm_send_result-Sending result 0 (error 0) for req 423639547
authenticate 'A_USER' against 'Active_Directory_AYERLERKESI' succeeded!
Group membership(s) - CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local

BYERLESKESI # [606] destroy_auth_session-delete session 423639547
[45] ldap_grp_list_del_all-Del CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local

1- b taradındaki userin b lokasyonundaki çıktısı.

 

[1938] handle_req-Rcvd auth req 423639551 for B_USER in Active_Directory_BYERLESKESI opt=0000001b prot=0
[345] __compose_group_list_from_req-Group 'Active_Directory_BYERLESKESI'
[694] fnbamd_pop3_start-B_USER
[976] __fnbamd_cfg_get_ldap_list_by_server-Loading LDAP server 'Active_Directory_BYERLESKESI'
[1001] resolve_ldap_FQDN-Resolved address 10.205.40.181, result 10.205.40.181
[1369] fnbamd_ldap_init-search filter is: sAMAccountName=B_USER

[1372] fnbamd_ldap_init-search base is: DC=BYERLESKESI,DC=local

[464] create_auth_session-Total 1 server(s) to try
[433] start_search_dn-base:'DC=BYERLESKESI,DC=local' filter:sAMAccountName=B_USER

[1755] fnbamd_ldap_get_result-Going to SEARCH state
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[467] get_all_dn-Found DN 1:CN=B Yerleskesi USERI,OU=users,OU=BYERLESKESI,DC=BYERLESKESI,DC=local

[481] get_all_dn-Found 1 DN's
[515] start_next_dn_bind-Trying DN 1:CN=B Yerleskesi USERI,OU=users,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[1803] fnbamd_ldap_get_result-Going to USERBIND state
[2548] auth_ldap_result-Continue pending for req 423639551
[738] start_user_attrs_lookup-Adding attr 'memberOf'
[759] start_user_attrs_lookup-base:'CN=B Yerleskesi USERI,OU=users,OU=BYERLESKESI,DC=BYERLESKESI,DC=local' filter:cn=*

[1859] fnbamd_ldap_get_result-Entering CHKUSERATTRS state
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[927] get_member_of_groups-Get the memberOf groups.
[959] get_member_of_groups- attr='memberOf', found 2 values
[85] ldap_grp_list_add-added CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local
[968] get_member_of_groups-val[0]='CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local'
[85] ldap_grp_list_add-added CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[968] get_member_of_groups-val[1]='CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local'
[806] start_primary_group_lookup-starting check...
[810] start_primary_group_lookup-number of sub auths 5
[828] start_primary_group_lookup-base:'DC=BYERLESKESI,DC=local' filter:(&(objectclass=group)(objectSid=\01\05\00\00\00\00\00\05\15\00\00\00\e4\a5\f3\0d\55\44\91\39\b4\36\7c\be\01\02\00\00))

[1882] fnbamd_ldap_get_result-Entering CHKPRIMARYGRP state
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[85] ldap_grp_list_add-added CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local
[910] get_primary_groups-primary group: CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local
[1915] fnbamd_ldap_get_result-Auth accepted
[2031] fnbamd_ldap_get_result-Going to DONE state res=0
[150] __ldap_copy_grp_list-copied CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local
[2628] fnbamd_auth_poll_ldap-Result for ldap svr 10.205.40.181 is SUCCESS
[2648] fnbamd_auth_poll_ldap-Skipping group matching
[866] find_matched_usr_grps-Skipped group matching
[180] fnbamd_comm_send_result-Sending result 0 (error 0) for req 423639551
[606] destroy_auth_session-delete session 423639551
authenticate 'B_USER' against 'Active_Directory_BYERLESKESI' succeeded!
Group membership(s) - CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local
                      CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
                      CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local

BYERLESKESI # [45] ldap_grp_list_del_all-Del CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local

 

 

gördüğüm kadarıyla aralarındaki çok az fark var.

[606] nolu logun Group membership(s) ten önce veya sonra olması. a lokasyonunda sonra çıkıyor. b lokasyonunda önce çıkıyor.

 

 

 

 

 

 

 

 

CevapAlıntı
Konu başlatıcı Gönderildi : 16/09/2016 11:48
tarkankurd
(@tarkankurd)
Üye

Bu arada her iki tarafında configlerini satır satır inceledim. policy lerde ki bütün ayarlar aynı.

a tarafındaki cihaz sw modda b tarafındaki cihaz ise interface modda.

bunun dışında herhangi bir fark bulamadım.

CevapAlıntı
Konu başlatıcı Gönderildi : 16/09/2016 11:52
Paylaş: